Зафиксирована целевая фишинговая атака на пользователей мессенджеров.
Злоумышленники используют многоступенчатую схему, которая позволяет полностью завладеть аккаунтом пользователя.
Как выглядит атака
-
В мессенджер приходит сообщение с вложенным HTML-файлом.
-
HTML-файл содержит JavaScript-скрипт, который подменяет текущую страницу в мессенджере в браузере на фишинговую.
-
Пользователь видит окно авторизации, имитирующее выход из текущей сессии. Это создает иллюзию, что нужно заново войти в аккаунт.
-
Жертва вводит номер. Открывается страница для ввода SMS-кода.
-
Код действительно приходит с легитимного номера мессенджера.
-
Если пользователь набирает код из SMS, ему будет предложено ввести пароль.
-
При этом сессии завершаются на всех устройствах жертвы.
-
Если введен пароль, жертва теряет доступ к своему аккаунту.
Предполагаемые цели злоумышленников
-
Возможность рассылать фишинг от имени взломанного пользователя (расширение базы).
-
Доступ к онлайн-сервисам — через перехват второго фактора авторизации.
Почему эта атака опасна
|
Средство защиты |
Результат проверки |
|
Антивирус (при скачивании) |
Не реагирует |
|
Антивирус (принудительная проверка) |
Не фиксирует угрозу |
|
Запуск в песочнице (SandBox) |
Нелегитимные действия не обнаружены |
Атака не детектируется стандартными средствами защиты на этапе доставки и открытия файла.
Рекомендации
-
Если сообщение содержит файл или ссылку, и вам это кажется подозрительным или необычным, свяжитесь с отправителем по альтернативному каналу (например, позвоните).
-
Не переходите по ссылкам и не открывайте вложения, если отправитель не подтвердил отправку сообщения при личном контакте.
-
Проверяйте адреса, обращайте внимание на URL. В данном случае адрес не принадлежал серверам мессенджера.
-
Если вы попали на фишинговую страницу и ввели данные, немедленно оповестите своих знакомых (чтобы остановить распространение) и обратитесь в техподдержку сервиса.
-
Будьте бдительны. Даже если сообщение пришло от знакомого имени, это может быть скомпрометированный аккаунт.
Как подготовить компанию к таким атакам
-
Регулярно информировать сотрудников об угрозах методами социальной инженерии (фишинговые рассылки, мошеннические звонки и прочее).
-
Обучать сотрудников организации распознавать фишинговые рассылки и информировать службы безопасности.
-
Внедрить регулярные тестовые рассылки фишинговых писем с целью проверки знаний сотрудников и их готовность к противодействию.